כוכבות הוליווד עדיין לא יכולות לישון בשקט. ההדלפה הגדולה של תמונות לרשת לאחר פריצה לחשבון ה-iCloud של מפורסמות רבות גרם לתהיות רבות – כיצד ייתכן שכמות כה גדולה של חשבונות נפרצו ועוד בשירות המאובטח של אפל (Apple)?
החברה מקופרטינו כבר החלה בחקירה פנימית אולם היא לא הודיעה עוד דבר בנוגע לכיצד הדבר אכן התרחש, אך ראיות מצביעות כי הפריצה לשירות ה-iCloud התבצעה דרך חור אבטחה ב-Find My iPhone, שירות איתור מכשירי אפל מרחוק ונעשה באמצעות סקריפט, אשר התגלה כי מספר ימים קודם לכן הוא הופץ כהוכחת יכולת באתר GitHub.
הסקריפט, הכתוב בשפת Python ומכונה iBrute, עושה דבר פשוט: הוא משיג גישה לחשבון המשתמש על ידי פיצוח השם והססמה באמצעות מחולל ססמאות ומנסה להזין את פרטי הגישה פעם אחר פעם עד אשר הוא מצליח להגיע לתוצאה הנכונה. נשמע פשוט נכון? וזה אכן כך. מתברר כי בניגוד לשירותים אחרים המגבילים את מספר ניסיונות החיבור לחשבון, אפל אפשרה עד אתמול לבצע מספר לא מוגבל של ניסיונות ולא נעלה את החשבון כפי שצריך היה להיות. שימוש באימות-דו-שלבי או אף התראה לבעל החשבון על ריבוי ניסיון התחברות כושל ככל הנראה היה מונע את הפריצה. יתרה מכך, כפי הנראה השימוש באותה הטכניקה התבצע עוד לפי מספר חודשים כאשר כמה עשרות חשבונות של משתמשי iPhone באוסטרליה התלוננו כי חשבונם נפרץ.
בין רשימת המפורסמות שמצאו כי תמונתיהן הודלפו לאתר 4chan, וחשבון נפרץ, ניתן למצוא את ריהנה, ג’ניפר לורנס, קייט אפטון, סלינה גומז, כריסטין ריטר, אריאנה גראנדה, קירסטן דאנסט ואחרות. על פי הערכות כ-100 חשבונות נפרצו.
באפל כאמור לא פרסמו עוד מידע לגבי הפריצה וכי היא רק ציינה שהנושא נמצא בחקירה. גם ה-FBI נכנס לעניין וכפי הנראה עוד יעברו מספר ימים עד אשר נדע את הפרטים המלאים.
צילום: Mingle MediaTV cc flickr
איתי, אתה כזה אובססיבי נגד אפל? הרי אפל הוכיחה כבר השבוע שלא התבצעה פריצה לשרתי ה-iCloud, אלא לחשבונות בעצמם. מעניין איך היית מדבר כשהיה מדובר בגוגל/סמסונג וכו׳
אני? ממש לא. זו אכן לא פריצה ל-iCloud, זה פירצה (שים לב, פירצה) ל-Find My iPhone. עצם העובדה שהיא לא הגבילה את מספר הניסיונות להתחברות – זו פירצת אבטחה. כמובן שגם המשתמשים אשמים בחוסר שימוש בסיסמאות מורכבות. ואנחנו כותבים כאן לא מעט על פריצות ופירצות לאנדרואיד, כאן, כאן, עוד כאן וכאן :-)
חחח מה הבעיה כולה עלה BRUTEFORSE עם כמה שרתים…